在windows中,用户、帐号、用户组三者的关系是什么??
kuaidi.ping-jia.net 作者:佚名 更新日期:2024-05-09
windows中各个用户组的权限是什么?
属于该administators本地组内的用户,都具备系统管理员的权限,它们拥有对这台计算机最大的控制权限,可以执行整台计算机的管理任务。内置的系统管理员账号Administrator就是本地组的成员,而且无法将它从该组删除。
如果这台计算机已加入域,则域的Domain Admins会自动地加入到该计算机的Administrators组内。也就是说,域上的系统管理员在这台计算机上也具备着系统管理员的权限。
Backup OPerators
在该组内的成员,不论它们是否有权访问这台计算机中的文件夹或文件,都可以通过“开始”-“所有程序”-“附件”-“系统工具”-“备份”的途径,备份与还原这些文件夹与文件。
Guests
该组是提供没有用户帐户,但是需要访问本地计算机内资源的用户使用,该组的成员无法永久地改变其桌面的工作环境。该组最常见的默认成员为用户帐号Guest。
Network Configuration Operators
该组内的用户可以在客户端执行一般的网络设置任务,例如更改IP地址,但是不可以安装/删除驱动程序与服务,也不可以执行与网络服务器设置有关的任务,例如DNS服务器、DHCP服务器的设置。
Power Users
该组内的用户具备比Users组更多的权利,但是比Administrators组拥有的权利更少一些,例如,可以:
创建、删除、更改本地用户帐户
创建、删除、管理本地计算机内的共享文件夹与共享打印机
自定义系统设置,例如更改计算机时间、关闭计算机等
但是不可以更改Administrators与Backup Operators、无法夺取文件的所有权、无法备份与还原文件、无法安装删除与删除设备驱动程序、无法管理安全与审核日志。
Remote Desktop Users
该组的成员可以通过远程计算机登录,例如,利用终端服务器从远程计算机登录。
Users
该组员只拥有一些基本的权利,例如运行应用程序,但是他们不能修改操作系统的设置、不能更改其它用户的数据、不能关闭服务器级的计算机。
所有添加的本地用户帐户者自动属于该组。如果这台计算机已经加入域,则域的Domain Users会自动地被加入到该计算机的Users组中。
一个用户对应一个账号,几个用相同权限的用户为用户组。
1、基本用户组
Administrators
属于该administators本地组内的用户,都具备系统管理员的权限,它们拥有对这台计算机最大的控制权限,可以执行整台计算机的管理任务。内置的系统管理员账号Administrator就是本地组的成员,而且无法将它从该组删除。
如果这台计算机已加入域,则域的Domain Admins会自动地加入到该计算机的Administrators组内。也就是说,域上的系统管理员在这台计算机上也具备着系统管理员的权限。
Backup OPerators
在该组内的成员,不论它们是否有权访问这台计算机中的文件夹或文件,都可以通过“开始”-“所有程序”-“附件”-“系统工具”-“备份”的途径,备份与还原这些文件夹与文件。
Guests
该组是提供没有用户帐户,但是需要访问本地计算机内资源的用户使用,该组的成员无法永久地改变其桌面的工作环境。该组最常见的默认成员为用户帐号Guest。
Network Configuration Operators
该组内的用户可以在客户端执行一般的网络设置任务,例如更改IP地址,但是不可以安装/删除驱动程序与服务,也不可以执行与网络服务器设置有关的任务,例如DNS服务器、DHCP服务器的设置。
Power Users
该组内的用户具备比Users组更多的权利,但是比Administrators组拥有的权利更少一些,例如,可以:
创建、删除、更改本地用户帐户
创建、删除、管理本地计算机内的共享文件夹与共享打印机
自定义系统设置,例如更改计算机时间、关闭计算机等
但是不可以更改Administrators与Backup Operators、无法夺取文件的所有权、无法备份与还原文件、无法安装删除与删除设备驱动程序、无法管理安全与审核日志。
Remote Desktop Users
该组的成员可以通过远程计算机登录,例如,利用终端服务器从远程计算机登录。
Users
该组员只拥有一些基本的权利,例如运行应用程序,但是他们不能修改操作系统的设置、不能更改其它用户的数据、不能关闭服务器级的计算机。
所有添加的本地用户帐户者自动属于该组。如果这台计算机已经加入域,则域的Domain Users会自动地被加入到该计算机的Users组中。
2、内置特殊组:
Everone
任何一个用户都属于这个组。注意,如果Guest帐号被启用时,则给Everone这个组指派权限时必须小心,因为当一个没有帐户的用户连接计算机时,他被允许自动利用Guest帐户连接,但是因为Guest也是属于Everone组,所以他将具备Everyone所拥有的权限。
Authenticated Users
任何一个利用有效的用户帐户连接的用户都属于这个组。建议在设置权限时,尽量针对Authenticated Users组进行设置,而不要针对Everone进行设置。
Interactive
任何在本地登录的用户都属于这个组。
Network
任何通过网络连接此计算机的用户都属于这个组。
Creator Owner
文件夹、文件或打印文件等资源的创建者,就是该资源的Creator Owner(创建所有者)。不过,如果创建者是属于Administrators组内的成员,则其Creator Owner为Administrators组。
Anonymous Logon
任何未利用有效的Windows Server 2003帐户连接的用户,都属于这个组。注意,在windows 2003内,Everone 组内并不包含“Anonymous Logon”组
3、备注:
用户名 LOCAL SERVICE 、 NETWORK SERVICE 、SYSTEM是系统用户,是系统自带的而不是病毒或入侵,都是正常的用户。注册表中的 BUILTIN 是 built in 的意思,表示内建帐户,属正常。
二、影子账户解析
本文仅针对Windows 2000/XP/2003,本文涉及注册表重要位置的修改,在实际操作前最好先进行备份。
(一)、管理员账户的安全性
Windows 2000/XP/2003中都能找到一个系统内置的默认管理员账户―Administrator,该账户具有Windows的最高管理权限,用来完成软件安装、系统设置等任务。如果系统由于存在漏洞而被黑客入侵,黑客为了下次还能方便地进来,通常会留一个管理员账户的影子账户(具备管理员权限的隐匿帐户)。
1、为什么黑客选择Administrator账户作为突破口?
如果黑客希望远程登录系统的话,就必须拥有具有远程登录权限的账户,而管理员账户自然是具备了远程登录的权限。
另外,由于Administrator是系统中默认建立的管理员账户,而且一般无法删除,所以黑客都会选择Administrator作为用户名猜解登录密码。
虽然使用“组策略”可以修改Administrator的用户名,可是一旦黑客给Administrator起了个“小名”(影子账户),再怎么改用户名也没用了。
2、Windows XP的安全策略
Windows XP在安装过程中会提示建立一个管理员账户,但实际上默认的Administrator账户仍是存在的,并且密码为空。但是在安全策略中有一条禁止空密码账户的远程登录,可以防止黑客利用密码为空进行登录(最好还是设置超复杂的密码了)。
(二)、什么是Windows内置账户?
内置账户是微软在开Window时预先为用户设置的能够登录系统的账户。使用最多的有Administator和Guest,它们两个默认都无法从系统中删除,即使从未使用这两个账户登录系统。
如果在安装系统后使用其他账户登录系统,这样在“C\Documents and Settings”目录中就不会产生它们两个所对应的配置文件目录,但这两个账户仍是存在的,用此账户登录一次后,系统就会生成相应的目录。
(三)、管理员账户的安全防范
1、为Administrator账户设置强壮的密码
强密码通常在8位以上,以大小写字母、数字、特殊符号混合排列而成。不应使用名字缩写及自己、家人的生日作为密码元素。不宜将常用单词用作为密码元素,即使要使用,也要使用特殊符号或数字使其略为变形,如将“apple”改为“@ pple”和加上!@#¥%……&*等等。
2、更改Administrator为其他用户名
Administrator是系统内建账户,默认情况下无法更改,可是强大的组策略又为我们提供了一次安全机会。
运行→gpedit.msc→打开组策略编辑器,点击展开左侧窗格的本地计算机→策略→Windows设置→安全设置→本地策略→安全选项,然后在右侧窗格的列表中→找到重命名系统管理员账户,双击它就能设置新的账户名了。
(四)、常用的账户建立/查看方法
1、用户账户:
打开“控制面板→用户账户”,在打开的“用户账户”管理窗口中点击“创建一个新账户”,然后根据提示即可完成一个新用户的建立。
在这里还可以查看曾经登录过系统的账户,但没有在“C:\Documents and Settings”目录中生成用户数据的账户,是不会显示的(比如没有登录过系统的Administrator账户),在这里检查系统中存在的账户是不准确的,对于稍微有点经验的入侵者而言,把残留在这里的痕迹抹去并非难事。
2、控制台:
系统控制台是Windows 2000及其后续版本中一个非常重要的系统组件,集中安置了系统中的多个系统配置维护工具。
依次打开“控制面板→计算机管理”打开“计算机管理”控制台,在窗口左侧定位到“本地用户和组→用户”,在窗口右侧就罗列了当前系统已经建立的账户,一些在“用户账户”中没有显示的账户都可以在这里查到。在窗口右侧空白处点右键选择“新用户”,然后输入账户信息就可以建立一个新用户了。
3、命令行:
以上两种都是图形界面中的操作方法,现在我们回归到命令行模式。要查看当前系统中的账户,运行CMD打开“命令提示符”窗口,输入“net user”命令后系统就会返回系统中存在的账户。
举例:键入“net user cfan 123 /add”命令可以新建一个用户名为“cfan”,密码为“123”的受限账户(即Users组成员)。
如果要将cfan账户提升为管理员,就需要将此账户加入Administrators用户组,运行命令“net localgroup Administrators cfan /add”即可。如果要删除则用“net user cfan /del”,要查看某个账户的详细情况则可以执行“net user 用户名”。
4、账户配置文件目录:
在系统盘符下的“Documents and Settings”目录中,凡是登录过系统的账户都会在此生成一个与账户名同名的目录。
5、查看“用户配置文件”:
打开“我的电脑”属性,切换到“高级”,单击“用户配置文件”对应的“设置”按钮,在弹出的“用户配置文件”窗口中显示了登录过系统的账户。在此具备管理员权限的用户可以删除账户及其配置文件(包括有密码保护的账户)。
6、巧用权限设置:
在NTFS格式的分区中,如果已经取消了“文件夹选项→查看→使用简单文件共存”的勾选,那么右击一个文件或者目录选择“属性”后就能看到“安全”选项卡,在这个选项卡中简单罗列了对此文件/目录具备权限的用户或组(见图4),而依次单击“添加→高级→立即查找”后,系统就会显示整个系统中的“用户、组或内置安全性原则”,可以非常方便地找出系统中的可疑账户。
(五)、建立影子帐户---省略
(六)、把隐藏账户请出系统
1、添加“$”符号型隐藏账户
对于这类隐藏账户的检测比较简单。一般黑客在利用这种方法建立完隐藏账户后,会把隐藏账户提升为管理员权限。那么我们只需要在“命令提示符”中输入“net localgroup administrators”就可以让所有的隐藏账户现形。如果嫌麻烦,可以直接打开“计算机管理”进行查看,添加“$”符号的账户是无法在这里隐藏的。
2、修改注册表型隐藏账户
由于使用这种方法隐藏的账户是不会在“命令提示符”和“计算机管理”中看到的,因此可以到注表中删除隐藏账户。
第一步:打开“注册表编辑器”,来到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”,其下的子项就是系统中的账户名,这是最保险的查看方式。点击左侧分支找到[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\Administrator],查看并记录下该项的默认值。
第二步:依次检查[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names]下的所有子项,如果某个子项的默认值与刚才记录下的Administrator的默认值相同,那么这个就是影子账户了,毫不犹豫的删除。
第三步:除Administrator外,黑客还可能复制出其他账户的用户数据,所以保险起见还需检查[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names]下所有子项的默认值是否有相同的,如果有,那么就该小心了。
3、通过事件查看器找到无法看到名称的隐藏账户
如果黑客制作了一个修改注册表型隐藏账户,在此基础上删除了管理员对注册表的操作权限。那么管理员是无法通过注册表删除隐藏账户的,甚至无法知道黑客建立的隐藏账户名称。
不过我们可以借助“组策略”的帮助,让黑客无法通过隐藏账户登陆。点击“开始”→“运行”,输入“gpedit.msc”运行“组策略”,依次展开“计算机配置”→“Windows 设置”→“安全设置”→“本地策略”→“审核策略”,双击右边的“审核策略更改”,在弹出的设置窗口中勾选“成功”,然后点“确定”。对“审核登陆事件”和“审核过程追踪”进行相同的设置,开启登陆事件审核功能。
进行登陆审核后,可以对任何账户的登陆操作进行记录,包括隐藏账户,这样我们就可以通过“计算机管理”中的“事件查看器”准确得知隐藏账户的名称,甚至黑客登陆的时间。即使黑客将所有的登陆日志删除,系统还会记录是哪个账户删除了系统日志,这样黑客的隐藏账户就暴露无疑了。
得知隐藏账户的名称后就好办了,但是我们仍然不能删除这个隐藏账户,因为我们没有权限。但是我们可以在“命令提示符”中输入“net user 隐藏账户名称”,然后更改这个隐藏账户的密码,这样这个隐藏账户就会失效,黑客无法再用这个隐藏账户
三、其他相关附件
附件1、审核策略的常规设置
审核被启用后,系统就会在审核日志中收集审核对象所发生的一切事件,如应用程式、系统连同安全的相关信息,因此审核对于确保域的安全是很重要的。审核策略下的各项值可分为成功、失败和不审核三种,默认是不审核,若要启用审核,可在某项上双击鼠标,就会弹出"属性"窗口,首先选中"在模板中定义这些策略配置",然后按需求选择"成功"或"失败"即可。
①审核策略更改:用于确定是否对用户权限分配策略、审核策略或信任策略作出更改的每一个事件进行审核。建议配置为"成功"和"失败"。
②审核登录事件:用于确定是否审核用户登录到该电脑、从该电脑注销或建立和该电脑的网络连接的每一个实例。假如设定为审核成功,则可用来确定哪个用户成功登录到哪台电脑;假如设为审核失败,则能够用来检测入侵,但攻击者生成的庞大的登录失败日志,会造成拒绝服务(DoS)状态。建议配置为"成功"。
③审核对象访问:确定是否审核用户访问某个对象,例如文档、文档夹、注册表项、打印机等,他们都指定了自己的系统访问控制列表(SACL)的事件。建议配置为"失败"。
④审核过程跟踪:确定是否审核事件的周详跟踪信息,如程式激活、进程退出、间接对象访问等。假如怀疑系统被攻击,可启用该项,但启用后会生成大量事件记录,正常情况下建议将其配置为"无审核"。
⑤审核目录服务访问:确定是否审核用户访问那些指定有自己的系统访问控制列表(SACL)的ActiveDirectory对象的事件。启用后会在域控制器的安全日志中生成大量审核项,因此仅在确实要使用所创建的信息时才应启用。建议配置为"无审核"。
⑥审核特权使用:该项用于确定是否对用户行使用户权限的每个实例进行审核,但除跳过遍历检查、调试程式、创建标记对象、替换进程级别标记、生成安全审核、备份文档和目录、还原文档和目录等权限。建议配置为"不审核"。
⑦审核系统事件:用于确定当用户重新启动或关闭电脑时,或对系统安全或安全日志有影响的事件发生时,是否予以审核。这些事件信息是很重要的,所以建议配置为"成功"和"失败"。
⑧审核账户登录事件:该配置用于确定当用户登录到其他电脑(该电脑用于验证其他电脑中的账户)或从中注销时,是否进行审核。建议配置为"成功"和"失败"。
⑨审核账户管理:用于确定是否对电脑上的每个账户管理事件,如重命名、禁用或启用用户账户、创建、修改或删除用户账户或管理事件进行审核。建议配置为"成功"和"失败"。
附件2、打开注册表编辑器
2000/XP在设计时加上了权限这一概念,所以在这2个系统里面有2种方法可以打开注册表编辑器。一种是直接在开始→运行中输入regedit,出现的界面和98/Me一样。另外一种是有权限限制的注册表编辑器,打开方法:开始→运行中输入regedt32。
备注:当你选中一个键值的时候,编辑下拉菜单下就可以看到一个权限选项,用鼠标单击这个选项后,再用鼠标分别单击各个用户组就可以看到不同的权限限制,如果你觉得某一个用户组的权利太高了,就可以在下方修改权限。注意:必须赋予Administrators组用户完全权限,否则一旦你或相应的软件、驱动程序要修改注册表,但是由于所有的组用户都没有权限修改,所以你将不能够成功安装。所以必须把完全权限赋予Administrators组用户(系统默认)。
Windows 7 中的用户帐户控制真的有必要吗
答:用户账户控制可以用来控制和阻止没有经过授权的软件运行。 例如上网时,可能的带毒网页运行病毒程序时,会被用户账户控制提问是否运行。 有证书签名的程序不会受用户帐户控制阻止运行,不建议关闭用户帐户控制。可以在组策略中...
windows账户名怎么改
答:6、接下来在打开的Windows10的控制面板窗口中,找到“用户账户”的图标。7、在打开的用户帐户窗口中,找到一个“更改帐户名称”的快捷链接。8、点击后就会打开修改用户名的窗口了,在这里可以修改该用户名,设置完成后点击“...
怎么在电脑上创建用户?
答:在电脑上创建用户,可以通过控制面板或者使用命令行来完成。1. 通过控制面板创建用户 首先,进入电脑的控制面板。在Windows系统中,可以通过在开始菜单中搜索“控制面板”来找到它。在控制面板中,找到“用户账户”选项,点击进入...
电脑用户账户名称在哪里看
答:在windows系统的控制面板可以查看当前的用户账号名,具体操作请参照以下步骤,演示以win10系统为例。1、在电脑桌面上右键单击此电脑,在出现的右键菜单中选择属性。2、在属性界面找到“控制面板主页”,然后进行点击。3、在控制...
windows7系统有几种使用者账户?说明一下各账户的主要功能
答:一、管理员账户:计算机的管理员账户拥有对全系统的控制权,能改变系统设定,可以安装和删除程式,能访问计算机上所有的档案。除此之外,它还拥有控制其他使用者的许可权。Windows 7中至少要有一个计算机管理员账户。在只有一...
在Windows10中,如何添加凭据呢?
答:1. 打开“控制面板”。可以通过在Windows搜索栏中输入“控制面板”来找到它,或者在开始菜单中找到它。在控制面板中,可以找到许多与系统设置和配置相关的选项。2. 在控制面板中,找到并点击“用户账户”选项。这个选项允许你...
在Win10电脑中登录的microsoft账户怎么删除
答:2. 进入控制面板页面后,找到用户账户选项,点击进入。3. 如图,在打开的页面,继续点击用户账户选项。4. 然后在打开的页面,点击「管理其他账户」的快捷链接。5. 在打开的用户列表中,找到想要删除的账户,点击。6. 如图...
win10怎么在管理员账户里新建账户
答:在任务栏的搜索框中输入“运行”并选择最佳匹配项,或直接Win + R快捷键呼出“运行”。在运行框中,输入“netplwiz”并单击“确定”在弹出的“用户账户”窗口中,选择“添加”弹出的蓝底白字页面中,单击左下角的“不使用...
怎么修改windows用户名
答:步骤:1,首先在开始菜单,右键,选择运行 2、输入netplwiz回车,3、打开用户账户,双击当前账户,例如:Administrator 4、打开后如图 5、输入你想要改的名字 6、点击确定后,弹出警告,点击是,如图 7、注销后发现账户名就改...
win10怎么修改电脑密码
答:如果本机帐户有设置密码并想要变更时,可以参考以下方法 在Windows搜索栏输入账户,然后点选打开。点选登录选项,然后点选密码并点击更改。请输入您目前的密码,然后点选下一页。输入您想要设定的新密码及密码提示,然后点选下...
1.Users
普通用户组,这个组的用户无法进行有意或无意的改动。因此,用户可以运行经过验证的应用程序,但不可以运行大多数旧版应用程序。Users 组是最安全的组,因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。Users 组提供了一个最安全的程序运行环境。在经过 NTFS 格式化的卷上,默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。Users 可以创建本地组,但只能修改自己创建的本地组。Users 可以关闭工作站,但不能关闭服务器。
2.Power Users
高级用户组,Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。但Power Users 不具有将自己添加到 Administrators 组的权限。在权限设置中,这个组的权限是仅次于Administrators的。
3.Administrators
管理员组,默认情况下,Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。一般来说,应该把系统管理员或者与其有着同样权限的用户设置为该组的成员。
4.Guests
来宾组,来宾组跟普通组Users的成员有同等访问权,但来宾账户的限制更多。
5.Everyone
所有的用户,这个计算机上的所有用户都属于这个组。
6.SYSTEM组
这个组拥有和Administrators一样甚至更高的权限,在察看用户组的时候它不会被显示出来,也不允许任何用户的加入。这个组主要是保证了系统服务的正常运行,赋予系统及系统服务的权限。
我就问一下,解决了吗?
lusrmgr.msc命令并不能编辑组,惆怅。
我是WIN10 专业版。
属于该administators本地组内的用户,都具备系统管理员的权限,它们拥有对这台计算机最大的控制权限,可以执行整台计算机的管理任务。内置的系统管理员账号Administrator就是本地组的成员,而且无法将它从该组删除。
如果这台计算机已加入域,则域的Domain Admins会自动地加入到该计算机的Administrators组内。也就是说,域上的系统管理员在这台计算机上也具备着系统管理员的权限。
Backup OPerators
在该组内的成员,不论它们是否有权访问这台计算机中的文件夹或文件,都可以通过“开始”-“所有程序”-“附件”-“系统工具”-“备份”的途径,备份与还原这些文件夹与文件。
Guests
该组是提供没有用户帐户,但是需要访问本地计算机内资源的用户使用,该组的成员无法永久地改变其桌面的工作环境。该组最常见的默认成员为用户帐号Guest。
Network Configuration Operators
该组内的用户可以在客户端执行一般的网络设置任务,例如更改IP地址,但是不可以安装/删除驱动程序与服务,也不可以执行与网络服务器设置有关的任务,例如DNS服务器、DHCP服务器的设置。
Power Users
该组内的用户具备比Users组更多的权利,但是比Administrators组拥有的权利更少一些,例如,可以:
创建、删除、更改本地用户帐户
创建、删除、管理本地计算机内的共享文件夹与共享打印机
自定义系统设置,例如更改计算机时间、关闭计算机等
但是不可以更改Administrators与Backup Operators、无法夺取文件的所有权、无法备份与还原文件、无法安装删除与删除设备驱动程序、无法管理安全与审核日志。
Remote Desktop Users
该组的成员可以通过远程计算机登录,例如,利用终端服务器从远程计算机登录。
Users
该组员只拥有一些基本的权利,例如运行应用程序,但是他们不能修改操作系统的设置、不能更改其它用户的数据、不能关闭服务器级的计算机。
所有添加的本地用户帐户者自动属于该组。如果这台计算机已经加入域,则域的Domain Users会自动地被加入到该计算机的Users组中。
一个用户对应一个账号,几个用相同权限的用户为用户组。
1、基本用户组
Administrators
属于该administators本地组内的用户,都具备系统管理员的权限,它们拥有对这台计算机最大的控制权限,可以执行整台计算机的管理任务。内置的系统管理员账号Administrator就是本地组的成员,而且无法将它从该组删除。
如果这台计算机已加入域,则域的Domain Admins会自动地加入到该计算机的Administrators组内。也就是说,域上的系统管理员在这台计算机上也具备着系统管理员的权限。
Backup OPerators
在该组内的成员,不论它们是否有权访问这台计算机中的文件夹或文件,都可以通过“开始”-“所有程序”-“附件”-“系统工具”-“备份”的途径,备份与还原这些文件夹与文件。
Guests
该组是提供没有用户帐户,但是需要访问本地计算机内资源的用户使用,该组的成员无法永久地改变其桌面的工作环境。该组最常见的默认成员为用户帐号Guest。
Network Configuration Operators
该组内的用户可以在客户端执行一般的网络设置任务,例如更改IP地址,但是不可以安装/删除驱动程序与服务,也不可以执行与网络服务器设置有关的任务,例如DNS服务器、DHCP服务器的设置。
Power Users
该组内的用户具备比Users组更多的权利,但是比Administrators组拥有的权利更少一些,例如,可以:
创建、删除、更改本地用户帐户
创建、删除、管理本地计算机内的共享文件夹与共享打印机
自定义系统设置,例如更改计算机时间、关闭计算机等
但是不可以更改Administrators与Backup Operators、无法夺取文件的所有权、无法备份与还原文件、无法安装删除与删除设备驱动程序、无法管理安全与审核日志。
Remote Desktop Users
该组的成员可以通过远程计算机登录,例如,利用终端服务器从远程计算机登录。
Users
该组员只拥有一些基本的权利,例如运行应用程序,但是他们不能修改操作系统的设置、不能更改其它用户的数据、不能关闭服务器级的计算机。
所有添加的本地用户帐户者自动属于该组。如果这台计算机已经加入域,则域的Domain Users会自动地被加入到该计算机的Users组中。
2、内置特殊组:
Everone
任何一个用户都属于这个组。注意,如果Guest帐号被启用时,则给Everone这个组指派权限时必须小心,因为当一个没有帐户的用户连接计算机时,他被允许自动利用Guest帐户连接,但是因为Guest也是属于Everone组,所以他将具备Everyone所拥有的权限。
Authenticated Users
任何一个利用有效的用户帐户连接的用户都属于这个组。建议在设置权限时,尽量针对Authenticated Users组进行设置,而不要针对Everone进行设置。
Interactive
任何在本地登录的用户都属于这个组。
Network
任何通过网络连接此计算机的用户都属于这个组。
Creator Owner
文件夹、文件或打印文件等资源的创建者,就是该资源的Creator Owner(创建所有者)。不过,如果创建者是属于Administrators组内的成员,则其Creator Owner为Administrators组。
Anonymous Logon
任何未利用有效的Windows Server 2003帐户连接的用户,都属于这个组。注意,在windows 2003内,Everone 组内并不包含“Anonymous Logon”组
3、备注:
用户名 LOCAL SERVICE 、 NETWORK SERVICE 、SYSTEM是系统用户,是系统自带的而不是病毒或入侵,都是正常的用户。注册表中的 BUILTIN 是 built in 的意思,表示内建帐户,属正常。
二、影子账户解析
本文仅针对Windows 2000/XP/2003,本文涉及注册表重要位置的修改,在实际操作前最好先进行备份。
(一)、管理员账户的安全性
Windows 2000/XP/2003中都能找到一个系统内置的默认管理员账户―Administrator,该账户具有Windows的最高管理权限,用来完成软件安装、系统设置等任务。如果系统由于存在漏洞而被黑客入侵,黑客为了下次还能方便地进来,通常会留一个管理员账户的影子账户(具备管理员权限的隐匿帐户)。
1、为什么黑客选择Administrator账户作为突破口?
如果黑客希望远程登录系统的话,就必须拥有具有远程登录权限的账户,而管理员账户自然是具备了远程登录的权限。
另外,由于Administrator是系统中默认建立的管理员账户,而且一般无法删除,所以黑客都会选择Administrator作为用户名猜解登录密码。
虽然使用“组策略”可以修改Administrator的用户名,可是一旦黑客给Administrator起了个“小名”(影子账户),再怎么改用户名也没用了。
2、Windows XP的安全策略
Windows XP在安装过程中会提示建立一个管理员账户,但实际上默认的Administrator账户仍是存在的,并且密码为空。但是在安全策略中有一条禁止空密码账户的远程登录,可以防止黑客利用密码为空进行登录(最好还是设置超复杂的密码了)。
(二)、什么是Windows内置账户?
内置账户是微软在开Window时预先为用户设置的能够登录系统的账户。使用最多的有Administator和Guest,它们两个默认都无法从系统中删除,即使从未使用这两个账户登录系统。
如果在安装系统后使用其他账户登录系统,这样在“C\Documents and Settings”目录中就不会产生它们两个所对应的配置文件目录,但这两个账户仍是存在的,用此账户登录一次后,系统就会生成相应的目录。
(三)、管理员账户的安全防范
1、为Administrator账户设置强壮的密码
强密码通常在8位以上,以大小写字母、数字、特殊符号混合排列而成。不应使用名字缩写及自己、家人的生日作为密码元素。不宜将常用单词用作为密码元素,即使要使用,也要使用特殊符号或数字使其略为变形,如将“apple”改为“@ pple”和加上!@#¥%……&*等等。
2、更改Administrator为其他用户名
Administrator是系统内建账户,默认情况下无法更改,可是强大的组策略又为我们提供了一次安全机会。
运行→gpedit.msc→打开组策略编辑器,点击展开左侧窗格的本地计算机→策略→Windows设置→安全设置→本地策略→安全选项,然后在右侧窗格的列表中→找到重命名系统管理员账户,双击它就能设置新的账户名了。
(四)、常用的账户建立/查看方法
1、用户账户:
打开“控制面板→用户账户”,在打开的“用户账户”管理窗口中点击“创建一个新账户”,然后根据提示即可完成一个新用户的建立。
在这里还可以查看曾经登录过系统的账户,但没有在“C:\Documents and Settings”目录中生成用户数据的账户,是不会显示的(比如没有登录过系统的Administrator账户),在这里检查系统中存在的账户是不准确的,对于稍微有点经验的入侵者而言,把残留在这里的痕迹抹去并非难事。
2、控制台:
系统控制台是Windows 2000及其后续版本中一个非常重要的系统组件,集中安置了系统中的多个系统配置维护工具。
依次打开“控制面板→计算机管理”打开“计算机管理”控制台,在窗口左侧定位到“本地用户和组→用户”,在窗口右侧就罗列了当前系统已经建立的账户,一些在“用户账户”中没有显示的账户都可以在这里查到。在窗口右侧空白处点右键选择“新用户”,然后输入账户信息就可以建立一个新用户了。
3、命令行:
以上两种都是图形界面中的操作方法,现在我们回归到命令行模式。要查看当前系统中的账户,运行CMD打开“命令提示符”窗口,输入“net user”命令后系统就会返回系统中存在的账户。
举例:键入“net user cfan 123 /add”命令可以新建一个用户名为“cfan”,密码为“123”的受限账户(即Users组成员)。
如果要将cfan账户提升为管理员,就需要将此账户加入Administrators用户组,运行命令“net localgroup Administrators cfan /add”即可。如果要删除则用“net user cfan /del”,要查看某个账户的详细情况则可以执行“net user 用户名”。
4、账户配置文件目录:
在系统盘符下的“Documents and Settings”目录中,凡是登录过系统的账户都会在此生成一个与账户名同名的目录。
5、查看“用户配置文件”:
打开“我的电脑”属性,切换到“高级”,单击“用户配置文件”对应的“设置”按钮,在弹出的“用户配置文件”窗口中显示了登录过系统的账户。在此具备管理员权限的用户可以删除账户及其配置文件(包括有密码保护的账户)。
6、巧用权限设置:
在NTFS格式的分区中,如果已经取消了“文件夹选项→查看→使用简单文件共存”的勾选,那么右击一个文件或者目录选择“属性”后就能看到“安全”选项卡,在这个选项卡中简单罗列了对此文件/目录具备权限的用户或组(见图4),而依次单击“添加→高级→立即查找”后,系统就会显示整个系统中的“用户、组或内置安全性原则”,可以非常方便地找出系统中的可疑账户。
(五)、建立影子帐户---省略
(六)、把隐藏账户请出系统
1、添加“$”符号型隐藏账户
对于这类隐藏账户的检测比较简单。一般黑客在利用这种方法建立完隐藏账户后,会把隐藏账户提升为管理员权限。那么我们只需要在“命令提示符”中输入“net localgroup administrators”就可以让所有的隐藏账户现形。如果嫌麻烦,可以直接打开“计算机管理”进行查看,添加“$”符号的账户是无法在这里隐藏的。
2、修改注册表型隐藏账户
由于使用这种方法隐藏的账户是不会在“命令提示符”和“计算机管理”中看到的,因此可以到注表中删除隐藏账户。
第一步:打开“注册表编辑器”,来到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”,其下的子项就是系统中的账户名,这是最保险的查看方式。点击左侧分支找到[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\Administrator],查看并记录下该项的默认值。
第二步:依次检查[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names]下的所有子项,如果某个子项的默认值与刚才记录下的Administrator的默认值相同,那么这个就是影子账户了,毫不犹豫的删除。
第三步:除Administrator外,黑客还可能复制出其他账户的用户数据,所以保险起见还需检查[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names]下所有子项的默认值是否有相同的,如果有,那么就该小心了。
3、通过事件查看器找到无法看到名称的隐藏账户
如果黑客制作了一个修改注册表型隐藏账户,在此基础上删除了管理员对注册表的操作权限。那么管理员是无法通过注册表删除隐藏账户的,甚至无法知道黑客建立的隐藏账户名称。
不过我们可以借助“组策略”的帮助,让黑客无法通过隐藏账户登陆。点击“开始”→“运行”,输入“gpedit.msc”运行“组策略”,依次展开“计算机配置”→“Windows 设置”→“安全设置”→“本地策略”→“审核策略”,双击右边的“审核策略更改”,在弹出的设置窗口中勾选“成功”,然后点“确定”。对“审核登陆事件”和“审核过程追踪”进行相同的设置,开启登陆事件审核功能。
进行登陆审核后,可以对任何账户的登陆操作进行记录,包括隐藏账户,这样我们就可以通过“计算机管理”中的“事件查看器”准确得知隐藏账户的名称,甚至黑客登陆的时间。即使黑客将所有的登陆日志删除,系统还会记录是哪个账户删除了系统日志,这样黑客的隐藏账户就暴露无疑了。
得知隐藏账户的名称后就好办了,但是我们仍然不能删除这个隐藏账户,因为我们没有权限。但是我们可以在“命令提示符”中输入“net user 隐藏账户名称”,然后更改这个隐藏账户的密码,这样这个隐藏账户就会失效,黑客无法再用这个隐藏账户
三、其他相关附件
附件1、审核策略的常规设置
审核被启用后,系统就会在审核日志中收集审核对象所发生的一切事件,如应用程式、系统连同安全的相关信息,因此审核对于确保域的安全是很重要的。审核策略下的各项值可分为成功、失败和不审核三种,默认是不审核,若要启用审核,可在某项上双击鼠标,就会弹出"属性"窗口,首先选中"在模板中定义这些策略配置",然后按需求选择"成功"或"失败"即可。
①审核策略更改:用于确定是否对用户权限分配策略、审核策略或信任策略作出更改的每一个事件进行审核。建议配置为"成功"和"失败"。
②审核登录事件:用于确定是否审核用户登录到该电脑、从该电脑注销或建立和该电脑的网络连接的每一个实例。假如设定为审核成功,则可用来确定哪个用户成功登录到哪台电脑;假如设为审核失败,则能够用来检测入侵,但攻击者生成的庞大的登录失败日志,会造成拒绝服务(DoS)状态。建议配置为"成功"。
③审核对象访问:确定是否审核用户访问某个对象,例如文档、文档夹、注册表项、打印机等,他们都指定了自己的系统访问控制列表(SACL)的事件。建议配置为"失败"。
④审核过程跟踪:确定是否审核事件的周详跟踪信息,如程式激活、进程退出、间接对象访问等。假如怀疑系统被攻击,可启用该项,但启用后会生成大量事件记录,正常情况下建议将其配置为"无审核"。
⑤审核目录服务访问:确定是否审核用户访问那些指定有自己的系统访问控制列表(SACL)的ActiveDirectory对象的事件。启用后会在域控制器的安全日志中生成大量审核项,因此仅在确实要使用所创建的信息时才应启用。建议配置为"无审核"。
⑥审核特权使用:该项用于确定是否对用户行使用户权限的每个实例进行审核,但除跳过遍历检查、调试程式、创建标记对象、替换进程级别标记、生成安全审核、备份文档和目录、还原文档和目录等权限。建议配置为"不审核"。
⑦审核系统事件:用于确定当用户重新启动或关闭电脑时,或对系统安全或安全日志有影响的事件发生时,是否予以审核。这些事件信息是很重要的,所以建议配置为"成功"和"失败"。
⑧审核账户登录事件:该配置用于确定当用户登录到其他电脑(该电脑用于验证其他电脑中的账户)或从中注销时,是否进行审核。建议配置为"成功"和"失败"。
⑨审核账户管理:用于确定是否对电脑上的每个账户管理事件,如重命名、禁用或启用用户账户、创建、修改或删除用户账户或管理事件进行审核。建议配置为"成功"和"失败"。
附件2、打开注册表编辑器
2000/XP在设计时加上了权限这一概念,所以在这2个系统里面有2种方法可以打开注册表编辑器。一种是直接在开始→运行中输入regedit,出现的界面和98/Me一样。另外一种是有权限限制的注册表编辑器,打开方法:开始→运行中输入regedt32。
备注:当你选中一个键值的时候,编辑下拉菜单下就可以看到一个权限选项,用鼠标单击这个选项后,再用鼠标分别单击各个用户组就可以看到不同的权限限制,如果你觉得某一个用户组的权利太高了,就可以在下方修改权限。注意:必须赋予Administrators组用户完全权限,否则一旦你或相应的软件、驱动程序要修改注册表,但是由于所有的组用户都没有权限修改,所以你将不能够成功安装。所以必须把完全权限赋予Administrators组用户(系统默认)。
答:用户账户控制可以用来控制和阻止没有经过授权的软件运行。 例如上网时,可能的带毒网页运行病毒程序时,会被用户账户控制提问是否运行。 有证书签名的程序不会受用户帐户控制阻止运行,不建议关闭用户帐户控制。可以在组策略中...
答:6、接下来在打开的Windows10的控制面板窗口中,找到“用户账户”的图标。7、在打开的用户帐户窗口中,找到一个“更改帐户名称”的快捷链接。8、点击后就会打开修改用户名的窗口了,在这里可以修改该用户名,设置完成后点击“...
答:在电脑上创建用户,可以通过控制面板或者使用命令行来完成。1. 通过控制面板创建用户 首先,进入电脑的控制面板。在Windows系统中,可以通过在开始菜单中搜索“控制面板”来找到它。在控制面板中,找到“用户账户”选项,点击进入...
答:在windows系统的控制面板可以查看当前的用户账号名,具体操作请参照以下步骤,演示以win10系统为例。1、在电脑桌面上右键单击此电脑,在出现的右键菜单中选择属性。2、在属性界面找到“控制面板主页”,然后进行点击。3、在控制...
答:一、管理员账户:计算机的管理员账户拥有对全系统的控制权,能改变系统设定,可以安装和删除程式,能访问计算机上所有的档案。除此之外,它还拥有控制其他使用者的许可权。Windows 7中至少要有一个计算机管理员账户。在只有一...
答:1. 打开“控制面板”。可以通过在Windows搜索栏中输入“控制面板”来找到它,或者在开始菜单中找到它。在控制面板中,可以找到许多与系统设置和配置相关的选项。2. 在控制面板中,找到并点击“用户账户”选项。这个选项允许你...
答:2. 进入控制面板页面后,找到用户账户选项,点击进入。3. 如图,在打开的页面,继续点击用户账户选项。4. 然后在打开的页面,点击「管理其他账户」的快捷链接。5. 在打开的用户列表中,找到想要删除的账户,点击。6. 如图...
答:在任务栏的搜索框中输入“运行”并选择最佳匹配项,或直接Win + R快捷键呼出“运行”。在运行框中,输入“netplwiz”并单击“确定”在弹出的“用户账户”窗口中,选择“添加”弹出的蓝底白字页面中,单击左下角的“不使用...
答:步骤:1,首先在开始菜单,右键,选择运行 2、输入netplwiz回车,3、打开用户账户,双击当前账户,例如:Administrator 4、打开后如图 5、输入你想要改的名字 6、点击确定后,弹出警告,点击是,如图 7、注销后发现账户名就改...
答:如果本机帐户有设置密码并想要变更时,可以参考以下方法 在Windows搜索栏输入账户,然后点选打开。点选登录选项,然后点选密码并点击更改。请输入您目前的密码,然后点选下一页。输入您想要设定的新密码及密码提示,然后点选下...
